«Viele Angriffe gelingen nur, weil Schwachstellen nicht behoben werden»

«Viele Angriffe gelingen nur, weil Schwachstellen nicht behoben werden»
Serdar Günal Rütsche

Phishing, Datendiebstahl und Erpressungssoftware treffen längst nicht mehr nur Konzerne. Immer häufiger geraten KMU ins Visier organisierter Täter – oft, weil sie sich in falscher Sicherheit wiegen. Der Zuzwiler Serdar Günal Rütsche, Chef der Cybercrime-Abteilung der Kantonspolizei Zürich und Leiter des nationalen Netzwerks digitale Ermittlungsunterstützung Internetkriminalität NEDIK, weiss, wie Firmen ihre Widerstandskraft stärken, weshalb Prävention Chefsache ist und warum Technologie allein keine Sicherheit garantiert.

Die Bedrohungslage hat sich in den vergangenen Jahren deutlich verschärft. «Wir sehen immer mehr Angriffe, insbesondere gegen KMU, durch organisierte Gruppen, die finanziell motiviert sind», sagt Serdar Günal Rütsche. Während die Digitalisierung vielerorts voranschreitet, wächst das Bewusstsein für Risiken nur langsam. «Viele Firmen sind digital sehr aktiv, ohne sich über die Gefahren im Klaren zu sein. Es fehlt oft die Achtsamkeit – also das Bewusstsein dafür, was mit den Firmendaten passiert oder wie leicht Phishing-Angriffe entstehen können.»

Die unterschätzte Bedrohung

Besonders drei Angriffsmethoden sind derzeit weit verbreitet. An erster Stelle steht Phishing in all seinen Formen: täuschend echt gestaltete E-Mails, Nachrichten oder Anrufe, die Mitarbeitende dazu bringen sollen, Passwörter preiszugeben oder infizierte Anhänge zu öffnen. Auch Social Engineering – also das gezielte Manipulieren von Vertrauen – bleibt eine zentrale Taktik. «Gerade dort, wo wenig in IT-Awareness investiert wird, haben solche Angriffe leichtes Spiel», so Günal Rütsche.

Daneben verursacht Ransomware, also Erpressungssoftware, grossen Schaden. Die Schadprogramme verschlüsseln Daten, blockieren Systeme und fordern Lösegeld für deren Freigabe. «Diese Angriffe erfolgen oft über kompromittierte Fernzugänge oder infizierte E-Mail-Anhänge und können für KMU existenzbedrohend werden», erklärt er. Eine weitere häufige Methode ist der sogenannte Business Email Compromise: Täter verschaffen sich Zugang zu echten Mailkonten oder imitieren sie, um gefälschte Zahlungsanweisungen glaubwürdig erscheinen zu lassen. «Diese Angriffe sind technisch simpel, aber enorm wirkungsvoll, weil sie Vertrauen ausnutzen und oft erst spät entdeckt werden.»

Der Mensch als grösste Schwachstelle

Technische Massnahmen sind wichtig, aber der entscheidende Faktor bleibt der Mensch. «Besonders unterschätzt wird Social Engineering in Verbindung mit internen Prozessen», sagt Günal Rütsche. Ein einziger glaubwürdiger Anruf oder eine gefälschte E-Mail können mehr Schaden anrichten als jede Schadsoftware. Viele Unternehmen setzen auf Firewalls und Antivirenprogramme, übersehen aber, dass der Mensch selbst das schwächste Glied in der Sicherheitskette ist. «Technik kann Angriffe abwehren, aber nur Menschen mit Sicherheitsbewusstsein können sie verhindern.»

Trotz Investitionen in IT-Sicherheit fehlt es vielen Unternehmen an klaren Abläufen für den Ernstfall. «Oft weiss niemand, wer im Notfall welche Schritte einleiten soll», erklärt Günal Rütsche. Backups existieren zwar, werden aber zu selten getestet. Und Notfallübungen, mit denen Schwachstellen erkannt und Abläufe geübt werden könnten, finden kaum statt. Für ihn ist klar: «Prävention ist wichtig, aber ohne strukturierte Reaktions- und Wiederherstellungsstrategie bleibt jedes Sicherheitskonzept lückenhaft.» Wer Zuständigkeiten definiert, Daten regelmässig sichert und Notfallpläne erprobt, kann die Folgen eines Angriffs deutlich begrenzen.

«Technik kann Angriffe abwehren – aber nur Menschen können sie verhindern.»

Homeoffice als Einfallstor

Mit der Zunahme von Homeoffice und hybriden Arbeitsmodellen hat sich die IT-Landschaft vieler Unternehmen verändert. Netzwerke sind verteilter, Endgeräte heterogener, Sicherheitsgrenzen verschwimmen. «Besonders kritisch sind unsichere Heimnetzwerke, private Geräte und falsch konfigurierte Remote-Zugänge», sagt Günal Rütsche.

Doch das Risiko kann eingedämmt werden: KMU sollten auf zentrale Sicherheitslösungen wie Endpoint-Protection und Multi-Faktor-Authentifizierung setzen. Dabei gehe es nicht um Überwachung der Mitarbeitenden, sondern ausschliesslich um den Schutz des Datenverkehrs. Ergänzend brauche es klare Regeln für Remote Work und Schulungen, um Risiken zu minimieren.

Die wichtigsten Hausaufgaben

Wie können KMU mit begrenztem Budget die eigene Sicherheit verbessern? «Zuerst braucht es eine klare Notfallplanung, damit im Ernstfall jeder weiss, was zu tun ist», erklärt Günal Rütsche. Ebenso wichtig sei die regelmässige Schulung der Mitarbeitenden: Wer Phishing erkennt und sicher mit Passwörtern umgeht, verhindere viele Vorfälle bereits im Ansatz. Starke Passwörter und die konsequente Nutzung von Multi-Faktor-Authentifizierung zählen zu den wirksamsten und günstigsten Schutzmassnahmen. Zudem sollten Unternehmen ihre Backups regelmässig testen und Software konsequent aktualisieren. «Viele Angriffe gelingen nur, weil bekannte Schwachstellen nicht behoben werden», sagt der Zuzwiler.

«Nur wenn Polizei, Wirtschaft und IT-Dienstleister an einem Strang ziehen, kann Cyberkriminalität effektiv bekämpft werden.»

Innovation braucht Sicherheit

Cloudlösungen, künstliche Intelligenz und vernetzte Geräte eröffnen neue Chancen – und Risiken. «Gerade KMU sollten bei der Einführung neuer Technologien nach dem Prinzip ‹Security by Design› handeln», betont Günal Rütsche. Das bedeutet, Sicherheitsaspekte von Anfang an mitzudenken und nicht erst nachträglich zu integrieren. Seriöse Cloud-Anbieter mit klaren Datenschutzstandards seien ebenso entscheidend wie regelmässige Überprüfungen der Systeme. «Innovation und Sicherheit sind keine Gegensätze, sondern zwei Seiten derselben Medaille. Nur wer beides vereint, kann langfristig vertrauenswürdig und widerstandsfähig digital arbeiten.»

«Ein grosser Teil der Cybervorfälle beginnt mit einem Klick», sagt Günal Rütsche. Vertrauen ist die Basis jeder digitalen Interaktion – und zugleich ihr Risiko. «Sicherheit ist keine reine IT-Aufgabe, sondern eine gemeinsame Verantwortung aller.» Eine echte Sicherheitskultur entstehe nur, wenn Unternehmen offen über Vorfälle sprechen und Mitarbeitende nicht aus Angst vor Schuldzuweisungen schweigen. «Nur wer Fehler analysiert und daraus lernt, wird resilient. Sicherheit bedeutet Achtsamkeit, Transparenz und Verantwortung.»

Zusammenarbeit als Schlüssel

Als Leiter des nationalen Netzwerks NEDIK betont Günal Rütsche, dass Cybersicherheit eine Gemeinschaftsaufgabe ist. «Die Polizei kann warnen und aufklären, aber das tägliche Sicherheitsverhalten liegt bei den Unternehmen selbst.» Die Kooperation zwischen Polizei, Wirtschaft und IT-Dienstleistern habe sich verbessert, dennoch zögerten viele KMU, Vorfälle zu melden – aus Angst vor Reputationsschäden oder Unsicherheit über Zuständigkeiten. «Nur wenn alle Akteure zusammenarbeiten und Informationen teilen, kann Cyberkriminalität effektiv bekämpft werden.»

Für Günal Rütsche steht fest: «Cybersicherheit ist Chefsache und kein reines IT-Thema.» Die Geschäftsleitung müsse Sicherheit als strategischen Erfolgsfaktor begreifen, nicht als Kostenblock. «Wenn die Führung Sicherheit aktiv priorisiert, wird sie auch im Unternehmen gelebt.» Dazu gehöre, klare Ziele zu definieren, Ressourcen bereitzustellen und Mitarbeitende regelmässig zu schulen. Nur so werde Cybersicherheit Teil der Unternehmenskultur – und nicht bloss eine technische Pflichtübung.

Text: Stephan Ziegler
Bild: Rebekka Grossglauser

zurück

Newsletter